La banda de ransomware REvil ejecuta un ataque a la cadena de suministro a través de una actualización maliciosa de Kaseya
Un ataque masivo del ransomware REvil, también conocido somo Sodinokibi, afectó a más de 1.500 compañías en al menos 17 países del mundo mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software de gestión de IT de la compañía Kaseya, que es utilizado comúnmente por proveedores de servicios administrados.
Un proveedor de servicios administrados (MSP, por sus siglas en inglés) es una empresa ofrece servicios de gestión de tecnología de la información (IT) de manera remota.
En este caso, la actualización con permisos de administrador afectó a los MSP y estos a su vez infectaron los sistemas de sus clientes con la amenaza, como fue el caso de una cadena de supermercados en Suecia que tuvo que cerrar algunas tiendas y al menos 11 escuelas en Nueva Zelanda.
Luego de los ataques a los servidores de Kaseya VSA en la tarde noche del pasado viernes 2 de julio —que involucraron la explotación de una vulnerabilidad zero-day que estaba en proceso de ser reparada
El proveedor de software con sede en Florida, Kaseya, dijo que menos de 60 de sus clientes y menos de 1,500 empresas posteriores se han visto afectadas por el ataque de ransomware que tuvo lugar el pasado viernes 2 de julio.
Kaseya, compañía que cuenta con aproximadamente 40.000 clientes, explicó en su sitio web —el cual ha ido actualizando— que notificó a las personas potencialmente afectadas con la recomendación de cerrar posibles servidores VSA de manera inmediata hasta tanto se publique el parche. Sin embargo, para muchas empresas ya había sido tarde y ya habían sido afectadas por el ransomware que cifró su información.
Según explica el sitio BleepingComputer, este ataque de REvil solo cifró los archivos de las víctimas y no robó información previo al cifrado para extorsionar a las víctimas que no paguen con filtrar la información secuestrada, algo que suele hacer este ransomware así como otras bandas. Ademas, el hecho de que no se hubiera robado información sugiere que los atacantes no accedieron a la red de la victima, sino que abusaron de la vulnerabilidad de Kaseya VSA para distribuir y ejecutar el malware.
En las últimas horas el grupo REvil publicó en su sitio de la dark web que ofrece a las víctimas de Kaseya un descifrador para que puedan recuperar los archivos del cifrado a cambio de 70 millones de dólares. Según el grupo, más de un millón de sistemas fueron comprometidos. Sin embargo, los operadores detrás del grupo parecen abiertos a negociar por un precio más bajo el descifrador.
Se recomienda que aquellas empresas que tienen servidores que pueden haber sido comprometidos por este ataque que se mantengan informadas y que apaguen las máquinas potencialmente vulnerables o que al menos las aíslen de la red hasta que aparezca más información.
Por su parte, la Agencia Nacional de Ciberseguridad de Estados Unidos junto al FBI publicaron una guía para los proveedor de servicios administrados afectados por este ataque así como para sus clientes, que incluye, entre otros puntos, descargar la herramienta de detección de Kaseya VSA, la cual analiza un sistema e indica si se detecta la presencia de algún Indicador de compromiso.